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@ Verfahren zum rechnergestutzten Austausch kryptographischer Schlussel zwischen einer 
Benutzercomputereinheit und einer Netzcomputereinheit 

@ Die Erfindung betrifft ein Verfahren, mit dem ein Sitzungs- 
schlussel (K) zwischen einer Benutzercomputereinheit (U) 
und einer Netzcomputereinheit (N) vereinbart werden kann. 
ohne da& ein unbefugter Dritter nutzliche Information 
bezuglich der Schlusse) oder der Identitat der Benutzercom- 
putereinheit (U) erhalten kann. Dies wird erreicht durch die 
Einbettung des Prinzips des El-Gamal Schlusselaustauschs 
in das erfindungsgema&e Verfahren. Durch die Verwendung 
zweier Zufallszahlen (t, r) wird die Aktualitat des Sitzungs- 
schlussels (K) gewahrleistet. Der Sitzungsschlussel (K) 
selbst wird niemals ubertragen und kann somit nicht von 
einem unbefugten Dritten ermittelt werden. 
Au&erdam bietet das erfindungsgema&e Verfahren zusatzli- 
che Sicherheltsmechanismen, wie z. B. die explizite Authen- 
" tiflkation der Netzcomputereinheit (N) durch die Benutzer- 
computereinheit (U) Oder auch die Betatigung des Sitzungs- 
schlussels (K) von der Netzcomputereinheit (N) an die 
Benutzercomputereinheit (B). 
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Beschreibung 

Informationstechnische Systeme unterliegen ver- 
schiedenen Bedrohungen. So kann z, B. Qbertragene In- 
formation von einem unbefugten Dritten abgehSrt und 
verSndert werden. Eine weitere Bedrohung bei der 
Kommunikation zweier Kommunikationspartner liegt 
in der Vorspiegelung einer falschen Identitat eines 
Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch ver- 
schiedene Sicherheitsmechanismen, die das informa- 
tionstechnische System vor den Bedrohungen schutzen 
sollen. begegnet. Ein zur Sicherung verwendet er Si- 
cherheitsmechanismus ist die Verschltisselung der ilber- 
tragenen Daten. Damit die Daten in einer Kommunika- 
tionsbeziehung zwischen zwei Kommunikationspart- 
nern verschlilsselt werden konnen, mtissen vor der 
Obertragung der eigentlichen Daten erst Schritte 
durchgefiihrt werden, die die Verschltisselung vorberei- 
ten. Die Schritte konnen z. B. darin bestehen, daB sich 
die beiden Kommunikationspartner auf einen Ver- 
schlusselungsalgorithmus einigen und daB ggf. die ge- 
meinsamen geheimen SchlOssel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmecha- 
nismus VerschlQsselung bei Mobilfunksystemen, da die 
flbertragenen Daten in diesen Systemen von jedem 
Dritten ohne besonderen zusatzlichen Aufwand abge- 
hdrt werden kiinnen. 

Dies ftthrt zu der Anforderung, eine Auswahl bekann- 
ter Sicherheitsmechanismen so zu treffen und diese Si- 
cherheitsmechanismen geeignet zu kombinieren, sowie 
Kommunikationsprotokoile zu spezifizieren, daB durch 
sie die Sicherheit von informationstechnischen Syste- 
men gewahrleistet wird 

Es sind verschiedene asynmietrische Verfahren zum 
rechnergestutzen Austausch kryptographischer SchlOs- 
sel bekannt Asymmetrische Verfahren, die geeignet 
sind fOr Mobilfunksysteme, sind (A. Aziz, W. Diffie, "Pri- 
vacy and Authentication for Wireless Local Area Net- 
works". IEEE Personal Communications, 1994, S. 25 bis 
31) und (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS". Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993. S. 1 bis 1 1). 

Das in (A. Aziz, W. Diffie, "Privacy and Authentication 
for Wireless Local Area Networks", IEEE Personal 
Communications, 1994. S. 25 bis 31) beschriebene Ver- 
fahren bezieht sich ausdrOcklich auf lokale Netzwerke 
und stellt hdhere Rechenleistungsanforderungen an die 
Computereinheiten der Kommunikationspartner wah- 
rend des SchlUsselaustauschs. AuBerdem wird in dem 
Verfahren mehr Obertragungskapazitat bendtigt als in 
dem erfindungsgemaBen Verfahren, da die Lange der 
Nachrichten grOBer ist als bei dem erfindungsgemaBen 
Verfahren. 

Das in (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993. 1993, S. 1 bis 11) beschriebene 
Verfahren hat einige grundlegende Sicherheitsziele 
nicht realisiert Die explizite Authentifikation des Net- 
zes durch den Benutzer wird nicht erreicht AuBerdem 
wird ein vom Benutzer an das Netz tibertragener 
SchlQssel vom Netz nicht an den Benutzer bestatigt 
Auch eine Zusicherung der Frische (Aktualitat) des 
SchlQssels fiir das Netz ist nicht vorgesehen. Ein weite- 
rer Nachteil dieses Verfahrens besteht in der Beschran- 
kung auf das Rabin- Verfahren bei der impliziten Au- 
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thentifizierung des SchlOssels durch den Benutzer. Dies 
schrankt das Verfahren in einer flexibleren Anwendbar- 
keit ein. AuBerdem ist kein Sicherheitsmechanismus 
vorgesehen, der die Nichtabstreitbarkeit von iibertrage- 
5 nen Daten gewahrleistet Dies ist ein erheblicher Nach- 
teil vor allem auch bei der Erstellung unanfechtbarer 
GebCihrenabrechnungen fQr ein Mobilfunksystem. Auch 
die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 
10 (NIST DSS) als verwendete Signaturfunktion schrankt 
das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 

Aus der US-Patentschrift US 5 222 140 ist ein Verfah- 
ren bekannt, bei dem unter Verwendung sowohl eines 

15 offentlichen als auch eines geheimen Schlussels sowie 
unter Verwendung einer Zufallszahl ein SitzungsschlUs- 
sel erzeugt wird. Dieser wird mit einem offentlichen 
Schliissel verknOpf t 

Dieses Verfahren weist im Vergleich zu dem erfin- 

20 dungsgemaBen Verfahren weniger reaiisierte grundle- 
gende Sicherheitsziele auf. 

Weiterhin ist aus der Patentschrift US 5 153 919 ein 
Verfahren beschrieben, bei dem eine Benutzereinheit 
sich gegenQber einer Netzeinheit identifiziert Anschlie- 

25 Bend findet unter Anwendung einer Hash-Funktion zwi- 
schen der Benutzereinheit und der Netzeinheit ein Au- 
thentifizierungsprozeB statt 

Weitere sichere Kommunikationsprotokoile, die aber 
wesentliche grundlegende Sicherheitsziele nicht reali- 

30 sieren, sind bekannt (M. Beller et al. Privacy and Au- 
thentication on a Portable Communication System, 
IEEE Journal on Selected Areas in Communications, 
Vol. 1 1, No. 6, S. 821 -829, 1993). 

Das Problem der Erfindung liegt darin, ein Verfahren 

35 zum rechnergestQtzten Austausch kryptographischer 
Schliissel anzugeben, das die oben genannten Nachteile 
vermeidet 

Dieses Problem wird durch das Verfahren gemaB Pa- 
tentanspruch 1 gelost. 
40 Die durch das erfindungsgemaBe Verfahren erreich- 
ten Vorteile liegen vor allem in einer erheblichen Re- 
duktion der Lange der ubertragenen Nachrichten und in 
der Realisierung weiterer Sicherheitsziele. 

Durch das erfindungsgemaBe Verfahren werden fol- 
45 gende Sicherheitsziele realisiert: 

— Gegenseitige explizite Authentifizierung von 
dem Benutzer und dem Netz, d. h. die gegenseitige 
Verifizierung der befaaupteten Identitat, 

50 — Schliisselvereinbarung zwischen dem Benutzer 
und dem Netz mit gegenseitiger impliziter Authen- 
tifizierung, d. h. daB durch das Verfahren erreicht 
wird, daB nach AbschluB der Prozedur ein gemein- 
samer geheimer Sitzungsschlttssel zur VerfQgung 

55 steht, von dem jede Partei weiB, daB nur das au- 
thentische Gegeniiber sich ebenfails im Besitz des 
geheimen SitzungsschlQssels befinden kann, 

— Zusicherung der Frische (Aktualitat) des Sit- 
zungsschlQssels f Or den Benutzer, 

60 — gegenseitige Bestatigung des SitzungsschlQssels 
von dem Benutzer und dem Netz, d. h. die Bestati- 
gung, daB das GegenQber tatsachlich im Besitz des 
vereinbarten geheimen SitzungsschlQssels ist, 

— Senden eines Zertifikats fQr den dffentlichen 
65 SchlQssel des Netzes vom Netz an den Benutzer, 

~ Senden eines Zertifikats fQr den dffentlichen 
SchlQssel des Benutzers von der Zertifizierungsin- 
stanz an das Netz, 
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— Zusicherung der Frische (Aktualitat) der Zertifi- 
kate far den dffentlichcn Schlttssel des Benutzers 
und far den dffentlichcn SchlUssei des Netzes. 

Durch die Weiterbildung gemaO Patentanspruch 2 
wird das Sicherheitsziel der Zusicherung der Frische 
(Aktualitat) des SitzungsschlQssels fur das Neu reali- 
siert 

Die Weiterbildung des erfindungsgemaBen Verfah- 
rens gemtfl Patentanspruch 3 ermdgiicht die Verwen- 
dung von temporaren Benutzeridentitaten. 

Durch die Weiterbildung des erfindungsgem§Ben 
Verfahrens gemiB Patentanspruch 4 wird das Sicher- 
heitsziel der Benutzeranonymitat realisiert, d h. die Ver- 
traulichkeit der Identitat des Benutzers gegeniiber Drit- 
ten. 

Durch die Weiterbildung des erfindungsgemafien 
Verfahrens gemaB Patentanspruch 6 wird zusatzlich das 
Sicherheitsziel der Nichtabstreitbarkeit von Daten rea- 
lisiert, die vom Benutzer an das Netz gesendet werden. 

Das erfindungsgemaBe Verfahren ist auBerdem sehr 
leicht an unterschiedliche Anforderungen anpaBbar, da 
es sich nicht auf bestimmte Algorithmen f Or Signaturbil- 
dung und Verschltisselung beschrankt 

Weiterbildungen der Erfindung ergeben sich aus den 
abhangigen AnsprOchen. 

Die Zeichnungen stellen bevorzugte Ausfdhrungsbei- 
spieie der Erfindung dar, die im folgenden naher be- 
schrieben werden. 

£s zeigen 

Fig, la, b ein Ablaufdiagramm, das das erfindungsge- 
maBe Verfahren gemaB Patentanspruch 1 darstellt; 

Fig^ 2a, b ein Diagramm, das das erfindungsgemaBe 
Verfahren mit zusatzlich realisierten Sicherheitszielen 
gemaB einiger abhangiger Patentansprttche beschreibt 

Anhand der Fig. la, b und 2a, b wird die Erfindung 
weiter erlautert 

In den Fig. la, b sind durch zwei Skizzen der Abiauf 
des erfindungsgemaBen Verfahrens dargesteilt Das er- 
findungsgemaBe Verfahren betrifft den Austausch kryp- 
tographischer Schliissel zwischen einer Benutzercom- 
putereinheit U und einer Netzcomputereinheit N, wobei 
unter der Benutzercomputereinheit U eine Compute- 
reinheit eines Benutzers eines Mobilfunknetzes zu ver- 
stehen ist und unter einer Netzcomputereinheit N eine 
Computereinheit des Netzbetreibers eines Mobilfunk- 
systems zu verstehen ist 

Die Erfindung beschrankt sich jedoch nicht auf ein 
Mobilfunksystem und somit auch nicht auf einen Benut- 
zer eines Mobilfunksystems und das Netz, sondem kann 
in alien Bereichen angewendet werden, in denen ein 
kryptographischer Schlilsselaustausch zwischen zwei 
Kommunikationspartnem benotigt wird. Dies kann z, B. 
in einer Kommunikationsbeziehung zwischen zwei 
Rechnern, die Daten in verschltisselter Form austau- 
schen woUen, der Fall sein. Ohne Beschrankung der All- 
gemeingultigkeit wird im folgenden also ein erster 
Konmiunikationspartner als Benutzercomputereinheit 
U und ein zweiter Kommunikationspartner als Netz- 
computereinheit N bezeichnet 

FUr das erfindungsgemaBe Verfahren gemaB An- 
spruch 1 wird vorausgesetzt, daB in der Benutzercom- 
putereinheit U kein vertrauenswOrdiger 6ffentlicher 
Netzschllissel g^ der Netzcomputereinheit N verfiigbar 
ist In der Benutzercomputereinheit U ist ein vertrau- 
enswttrdiger dffentlicher Zertifizierungsschliissel g" der 
Zertifizierungscomputereinheit CA verftigbar, wobei g 
ein erzeugendes Element einer endlichen Gruppe ist 
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Dies bedeutet, daB die Benutzercomputereinheit U sich 
den vertrauenswtirdigen dffentlichen Netzschltissel g* in 
Form eines Netzzertifikats CertN von einer Zertifizie- 
rungscomputereinheit CA "besorgen" muB. Ebenso 
5 braucht die Netzcomputereinheit N den vertrauenswClr- 
digen dffentlichen BenutzerschQssel 6u in Form eines 
Benutzerzertifikats CertU von der Zertifizierungscom- 
putereinheit CA. 
In der Benutzercomputereinheit U wird eine erste 
10 Zufallszahl t generiert Aus der ersten Zufallszahl t wird ^ 
mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der Benutzercomputereinheit U ein erster 
Wertg* gebildet 
Asymmetrische Verfahren beruhen im wesentiichen 
15 auf zwei Problemen der Kompiexitatstheorie, dem Pro- 
blem zusammengesetzte Zahlen effizient zu faktorisie- 
ren, und dem diskreten Logarithmusproblem (DLP). 
Das DLP besteht darin, daB in geeigneten Rechenstruk- 
turen zwar Exponentiationen effizient durchgefiihrt 
20 werden konnen, daB jedoch fur die Umkehrung dieser 
Operation, das Logarithmieren, keine effizienten Algo- 
rithmen bekannt sind 

Solche Rechenstrukturen sind z. B. unter den oben 
bezeichneten endlichen Gruppen zu verstehen. Diese 
25 sind z. B. die multiplikative Gruppe eines endlichen K5r- 
pers (z. B. Multiplizieren Modulo p, wobei p eine groBe 
PrimzaW ist), oder auch sogenannte "elliptische Kur- 
ven". Elliptische Kurven sind vor allem deshalb interes- 
sant, weil sie bei gleichem Sicherheitsniveau wesentliche 
30 ktirzere Sicherheitsparameter erlauben. Dies betrifft die 
Lange der offentlichen Schliissel, die Lange der Zertifi- 
kate, die Lange der bei der Sitzungsschlusselvereinba- 
rung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signaturen, die jeweils im weiteren be- 
35 schrieben werden. Der Grund dafUr ist, daB die fflr ellip- 
tische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die flir endliche Kdr- 
per. 

Eine groBe Primzahi in diesem Zusammenhang be- 
40 deutet, daB die Gr6Be der Primzahi so gewahlt werden 
muB, daB die Logarithmierung so aufwendig ist, daB sie 
nicht in vertretbarer Zeit durchgefiihrt werden kann. 
Vertretbar bedeutet in diesem Zusammenhang einen 
Zeitraum entsprechend der Sicherheitspolitik von meh- 
45 reren Jahren bis Jahrzehnten und langer. 

Nach der Berechnung des ersten Werts g^ wird eine 
erste Nachricht Ml codiert, die mindestens den ersten 
Wert g\ eine IdentitatsgrSBe |MU| der Benutzercompu- 
tereinheit U und eine IdentitatsgrdBe idcA einer Zertifi- 
50 zierungscomputereinheit CA, die ein Netzzertifikat 
CertN liefert, das von der Benutzercomputereinheit U 
verifiziert werden kann, aufweist Dies ist notig, wenn 
mehrere Zertifizierungsinstanzen mit unterschiedlichen 
geheimen Zertifizierungsschlusseln vorgesehen werden. 
55 Wenn das Sicherheitsziel der Benutzeranonymitat reali- 
siert werden soli, wird in der Benutzercomputereinheit 
vor Bildung der ersten Nachricht Ml ein Zwischen- 
schlQssel L gebildet Dies geschieht durch Potenzierung 
des dffentlichen ZertifizierungsschlQssels g" mit der er- 
60 sten Zufallszahl t Im weiteren wird in diesem Fall die 
IdentitatsgrSBe |MU| der Benutzercomputereinheit U 
mit dem ZwischenschlQssel L unter Anwendung einer 
Verschliisselungsfunktion Enc verschlOsselt und das Er- 
gebnis stellt einen vierten verschliisselten Term VT4 
65 dar. Der vierte verschliisselte Term VT4 wird anstatt 
der IdentitatsgrdBe |MU| der Benutzercomputereinheit 
U in die erste Nachricht Ml integriert Die erste Nach- 
richt Ml wird von der Benutzercomputereinheit U an 
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die Netzcomputereinheit N ubertragen. 

In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert Die erste Nachricht Ml kann auch 
Qber einen unsicheren Kanal, also auch Qbt eine Luft- 
schnittstelle, unverschlQsselt Qbertragen werden. da die 
Logarithmierung des ersten Wertes g^ nicht in vertret- 
barer Zeit durchgefuhrt werden kann. 

In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert, und eine vierte Nachricht M4 gebil- 
det, die eine Verkettung des der Netzcomputereinheit N 
bekannten Offentlichen NetzschlQssels g*, dem ersten 
Wert gt und der IdentitatsgrdBe |MU| der Benutzer- 
computereinheit U, sowie einem ersten signierten Term 
aufweisL Der erste signierte Term wird gebildet durch 
Anwendung einer zweiten Signaturfunktion SigN auf 
einen ersten Signatureingangsterm. Der erste Signatur- 
eingangsterm weist mindestens ein Ergebnis einer drit- 
ten Hash-Funktion h3 auf, die auf mindestens eine Ver- 
kettung des dffentlichen NetzschlQssels g^, des ersten 
Werts g' und der IdentitatsgroBe |MU| der Benutzer- 
computereinheit U angewendet wird. In dem Fall, daB 
das Sicherheitsziel der Benutzeranonymitat realisiert 
werden soil, wird in der vierten Nachricht M4 anstatt 
der IdentitatsgrdBe |MU| der Benutzercomputereinheit 
U der vierte verschlOsselte Term VT4 codiert In diesem 
Fall weist auch die Verkettung, auf die die dritte Hash- 
Funktion h3 angewendet wird, anstatt der Identit^tsgrd- 
Be |MU| der Benutzercomputereinheit U den vierten 
verschltisselten Term VT4 auf. 

Die zweite Signaturfunktion SigN kann, muB aber 
nicht gleich sein der ersten Signaturfunktion Sigu. 

Die vierte Nachricht M4 wird in der Netzcompute- 
reinheit N codiert und anschlieBend an die ZertlHzie- 
rungscomputereinheit CA Qbertragen. 

In der Zertifizierungscomputereinheit CA wu-d die 
vierte Nachricht M4 decodiert und mit dem dffentlichen 
SchlQssel g^ der der Zertifizierungscomputereinheit CA 
bekannt ist, verifiziert. Damit wird die Netzcompute- 
reinheit N als Sender der vierten Nachricht M4 authen- 
tifiziert. 

AnschlieBend wird, falls die Benutzeranonymitat ge- 
wahrleistet wird, also der vierte verschlQsselte Term 
VT4 in der vierten Nachricht M4 mitgesendet wurde, in 
der Zertifizierungscomputereinheit CA der Zwischen- 
schlussel L berechnet, indem der erste Wert g* mit ei- 
nem geheimen Zertifizierungsschlussel u der Zertifizie- 
rungscomputereinheit CA potenziert wird. 

Mit dem ZwischenschlQssel L wird unter Verwendung 
der VerschlQsselungsfunktion Enc der vierte verschlQs- 
selte Term VT4 entschlQsselt, womit in der Zertifizie- 
rungscomputereinheit CA die IdentitatsgrdBe |MU| der 
Benutzercomputereinheit U bekannt ist. 

In der Zertifizierungscomputereinheit CA wird dann 
das Benutzerzertifikat CertU ermittelt Das Benutzer- 
zertifikat CertU kann z. B. aus einer der Zertifizierungs- 
computereinheit CA eigenen Datenbank ermittelt wer- 
den, die alle Zertifikate der Computereinheiten enthait, 
fQr die die Zertifizierungscomputereinheit CA Zertifika- 
te erstellt 

Um die GQltigkeit des Netzzertifikats CertN und des 
Benutzerzertifikats CertU zu QberprQfen, wird eine 
Identitatsangabe idw und der in der vierten Nachricht 
mitgesendete dffentliche NetzschlQssel g*. die Identi- 
tatsgraBe |MU| der Benutzercomputereinheit U sowie 
das ermittelte Benutzerzertifikat CertU mit einer Revo- 
kationsliste verglichen, in der ungQltige Zertifikate, 
SchlQssel Oder Identitatsgr6Ben aufgefQhrt sind. 

AnschlieBend wird aus mindestens einer Verkettung 



des ersten Werts gS des affentlichen NetzschlQssels g* 
und der Identitatsangabe idN der Netzcomputereinheit 
N ein dritter Term gebildet 
Der dritte Term wird mit Hilfe einer vierten Hash- 
5 Funktion h4 "gehasht" und das Ergebnis der Hash-Funk- 
tion h4 wird unter Verwendung einer dritten Signatur- 
funktion SigcA signiert Ein Netzzertifikat CertN wird 
nun in der Zertifizierungscomputereinheit CA gebildet, 
wobei das Netzzertifikat CertN mindestens den dritten 
10 Term und den signierten Hash- Wert des dritten Terms 
aufweist 

Weiterhin wird in der Zertifizierungscomputereinheit 
CA ein Zeitstempel TS kreiert 

In der Zertifizierungscomputereinheit CA wird au- 
15 Berdem ein fQnfter Term gebildet, der mindestens eine 
Verkettung des Zeitstempels TS, der Identitatsangabe 
idN der Netzcomputereinheit N und des Benutzerzerti- 
fikats CertU aufweist 

Ein zweiter signierter Term wird gebildet durch An- 
20 wendung der dritten Signaturfunktion SigcA auf einen 
zweiten Signatureingangsterm und den geheimen Zerti- 
fizierungsschlQssel u. Der zweite Signatureingangsterm 
weist mindestens ein Ergebnis der vierten Hash-Funk- 
tion h4 auf, die auf mindestens den fQnften Term ange- 
25 wendetwird. 

AnschlieBend wird ein sechster Term gebildet der 
mindestens den fQnften Term und den signierten Hash- 
Wert des fQnften Terms aufweist 

Eine in der Zertifizierungscomputereinheit CA gebii- 
30 dete fQnfte Nachricht M5 weist mindestens eine Verket- 
tung aus dem Netzzertifikat CertN und dem sechsten 
Term auf. 

Die fQnfte Nachricht M5 wird in der Zertifizierungs- 
computereinheit CA codiert und an die Netzcompute- 
35 reinheit N Qbertragen. Nachdem die fQnfte Nachricht in 
der Netzcomputereinheit N decodiert ist wird das 
Netzzertifikat CertN und der zweite signierte Term ver- 
ifiziert 

In der Netzcomputereinheit N wird nun ein vierter 
40 Term gebildet der mindestens eine Verkettung des df- 
fentlichen NetzschlQssels g* und des signierten Hash- 
Werts des dritten Terms aufweist 

In der Netzcomputereinheit N wird mit Hilfe einer 
ersten Hash-Funktion hi ein SitzungsschlQssel K gebil- 
45 det Als eine erste EingangsgroBe der ersten Hash- 
Funktion hi wird eine Konkatenation eines ersten 
Terms mit der zweiten Zufallszahl r verwendet Der 
erste Term wird gebildet indem der erste Wert g* po- 
tenziert wird mit einem geheimen NetzschlQssel s. Un- 
50 ter einer Hash-Funktion ist in diesem Zusammenhang 
eine Funktion zu verstehen, bei der es nicht mdglich ist 
zu einem gegebenen Funktionswert einen passenden 
Eingangswert zu berechnen. Femer wird einer beliebig 
langen Eingangszeichenfolge eine Ausgangszeichenfol- 
55 ge fester Lange zugeordnet Des weiteren wird fQr die 
Hash-Funktion in diesem Zusammenhang Koilisions- 
freiheit gefordert d. h. es darf nicht mSglich sein, zwei 
verschiedene Eingangszeichenfolgen zu fmden, die die- 
selbe Ausgangszeichenfolge ergeben. Die zweite Zu- 
60 fallszahl r findet Verwendung, wie in den Fig. 2a, b be- 
schrieben, wenn das zusatzliche Sicherheitsziel der Zusi- 
cherung der Frische (Aktualitat) des SitzungsschlQssels 
K fur die Netzcomputereinheit N realisiert werden soil 
Ist dieses Sicherheitsziel nicht benStigt wird die zweite 
65 Zufallszahl r nicht in dem erfindungsgemaBen Verfah- 
ren verwendet 

Nun wird in der Netzcomputereinheit N eine Ant- 
wort A gebildet Zur Bildung der Antwort A sind ver- 
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schiedene Varianten vorgesehea So ist es z. B. mdgiich, 
dafl mit dem Sitzungsschltissel K unter Verwendung 
einer VerschlQsselungsfunktion Enc eine Konstante 
const verschlQsselt wird. Die Konstante const ist sowohl 
der Benutzercomputereinheit U als auch der Netzcom- 
putereinheit N bekannt Auch die Verschltisselungs- 
funktion Enc ist sowohl der Netzcomputereinheit N als 
auch der Benutzercomputereinheit U als die in dem er- 
findungsgemaflen Verfahren zu verwendende Ver- 
schlQsselungsfunktion bekannt 

Eine weitere Moglichkeit, die Antwort A zu bilden 
liegt z. B. darin, daB der SitzungsschlOssel K als Ein- 
gangsgroBe fttr eine dritte Hash-Funktion h3 verwendet 
wird und der "gehashte" Wert des Sitzungsschlussels K 



10 



schlilsselt werden kann, erheblich reduziert 

Nachdem in der Benutzercomputereinheit U der Sit- 
zungsschlOssel K gebildet wurde, wird anhand der emp- 
fangenen Antwort A aberpriift, ob der in der Benutzer- 
computereinheit U gebildete Sitzungsschiassel K mit 
dem Sitzungsschiassel K, der in der Netzcomputerein- 
heit N gebildet wurde. Qbereinstimmt 

Abhangig von den im vorigen beschriebenen Varian- 
ten zur Bildung der Antwort A sind verschiedene M6g- 
lichkeiten vorgesehen. den Sitzungsschlussel K anhand 
der Antwort A zu OberprQfen, 

Eine Moglichkeit besteht z. B. darin. daB, wenn die 
Antwort A in der Netzcomputereinheit N durch Ver- 
schliisseJung der Konstante const mit dem Sitzungs- 



als Antwort A verwendet wird. Weitere Mdglichkeiten, 15 schlussel K unter Verwendung der Verschlusselungs 



die Antwort A zu bilden, die zur Oberpriifung des Sit- 
zungsschliissels K in der Benutzercomputereinheit U 
verwendet wird, sind dem Fachmann gelMufig und k6n- 
nen als Varianten zu den beschriebenen Vorgehenswei- 
sen verwendet werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r, 
des vierten Terms der Antwort A, sowie ein optionales 
erstes Datenfeld datl bilden eine zweite Nachricht M2. 
Die zweite Zufallszahl r und das optionale erste Daten- 
feld datl sind nur in der zweiten Nachricht M3 enthai- 
ten. wenn diese in dem erfindungsgemSBen Verfahren 
vorgesehen werden. 

Die zweite Nachricht M2 wird in der Netzcompute- 
reinheit N codiert und zu der Benutzercomputereinheit 
U Ubertragen. 

In der Benutzercomputereinheit U wird die zweite 
Nachricht M2 decodiert, so daB die Benutzercompute- 
reinheit U eventuell die zweite Zufallszahl r, die Ant- 
wort A sowie eventuell das optionale erste Datenfeld 
datl zur VerfOgung hat Die LSnge des optionalen er- 
sten Datenfeides datl kann beliebig groB sein, d. h. es ist 
auch mdgiich, daB das optionale erste Datenfeld datl 
nicht vorhanden ist 

In der Benutzercomputereinheit U wird nun ebenfalls 
der Sitzungsschlilssel K gebildet, mit Hilfe der ersten 
Hash-Fimktion hi, die sowohl der Netzcomputereinheit 
N als auch der Benutzercomputereinheit U bekannt ist. 
Eine zweite EmgangsgrdBe der ersten Hash-Funktion 
hi zur Bildung des SitzungsschlQssels K in der Benut- 
zercomputereinheit U weist mindestens einen zweiten 
Term auf. Der zweite Term wird gebildet aus einer Ex- 
ponentation eines Sffentlichen NetzschlQssels g^ mit der 
ersten Zufallszahl t Wenn die zweite Zufallszahl r in 
dem erf indungsgemaBen Verfahren vorgesehen wird, so 
weist die zweite Eingangsgrdfle der ersten Hash-Funk- 
tion hi zur Bildung des SitzungsschlQssels K in der Be- 
nutzercomputereinheit U zusatzlich die zweite Zufalls- 
zahl r auf. 

Durch die Verwendung der ersten Zufallszahl t und 
der zweiten Zufallszahl r bei der Generierimg des Sit- 
zungsschlQssels K wird die AktuaiitSt des Sitzungs- 
schlQssels K gewahrleistet, da jeweils die erste ZufaUs- 
zahl t als auch die zweite Zufallszahl r nur fQr jeweils 
einen SitzungsschlQssel K verwendet werden. 



20 



25 



30 



35 



40 



45 



50 



55 



funktion Enc gebildet wurde, die Antwort A entschlQs- 
selt wird. und somit die Benutcercomputereinheit U ei- 
ne entschlQsselte Konstante const' erhait, die mit der 
bekannten Konstante const verglichen wird. 

Die OberprQfung des Sitzungsschlussels K anhand 
der Antwort A kann auch durchgefQhrt werden, indem 
die der Benutzercomputereinheit U bekannte Konstan- 
te const mit dem in der Benutzercomputereinheit U 
gebildeten SitzungsschlQssel K unter Verwendung der 
VerschlQsselungsfunktion Enc verschlQsselt wird und 
das Ergebnis mit der Antwort A auf Obereinstimmung 
geprQft wird Diese Vorgehensweise wird z. B. auch ver- 
wendet wenn die Antwort A in der Netzcomputerein- 
heit N gebildet wird, indem auf den Siuungsschlussei K 
die dritte Hash-Funktion h3 angewendet wird. In diesem 
Fall wird in der Benutzercomputereinheit U der in der 
Benutzercomputereinheit U gebildete Sitzungsschlussel 
K als Eingangsgr5Be der dritten Hash-Funktion h3 ver- 
wendet Der "gehashte" Wert des in der Benutzercom- 
putereinheit U gebildeten SitzungsschlQssel K wird 
dann mit der Antwort A auf Obereinstimmung geprQft 
Damit wird das Ziel der Schlusselbest^tigung des Sit- 
zungsschlQssels K erreicht 

Dadurch, daB bei der Berechnung des SitzungsschlQs- 
sels K in der Netzcomputereinheit N der geheime Netz- 
schlussel s und bei der Berechnung des SitzungsschlQs- 
sels K in der Benutzercomputereinheit U der dffentliche 
NetzschlQssel g* verwendet werden, wird die Netzcom- 
putereinheit N durch die Benutzercomputereinheit U 
authentifiziert Dies wird erreicht vorausgesetzt daB fQr 
die Benutzercomputereinheit U bekannt ist daB der 6f- 
fentliche NetzschlQssel g* tatsachlich zur Netzcompute- 
reinheit N gehdrt 

Im AnschluB an die Bestatigung des SitzungsschlQs- 
sels K durch OberprQfung der Antwort A wird ein Si- 
gnaturterm berechnet Hierzu wird mit Hilfe einer zwei- 
ten Hash-Funktion h2 eine vierte EingangsgraBe gebil- 
det Die zweite Hash-Funktion h2 kann, muB aber nicht 
dieselbe Hash-Funktion sein wie die erste Hash-Funk- 
tion hi Als eine dritte EingangsgroBe fQr die zweite 
Hash-Funktion h2 wird ein Term verwendet der minde- 
stens den SitzungsschlQssel K enthSlt Weiterhin kann 
die dritte EingangsgraBe das optionale erste Datenfeld 
datl Oder auch ein optionales zweites Datenfeld dat2 



Somit wird eine Wiedereinspielung eines §lteren eo enthalten, wenn deren Verwendung in dem erfindungs 



SchlQssels als SitzungsschlQssel K verhindert Wenn 
aber fur jeden neuen SitzungsschlQssel K andere Zu- 
fallszahlen verwendet werden, so ist die Wahrschein- 
lichkeit daB der verwendete SitzungsschlQssel K von 
einem unbefugten Dritten schon herausgefunden wur- 
de, wesentlich geringer. Damit ist die Gefahr, daS der 
Teil einer Nachricht der mit dem Sitzungsschlussel K 
verschlQsselt ist von einem unbefugten Dritten ent- 



65 



gemfiBen Verfahren vorgesehen wird. 

Es kann spater nicht abgestritten werden, daB die 
Daten, die im ersten optionale Datenfeld datl und im 
zweiten optionalen Datenfeld dat2 enthalten sind, von 
der Benutzercomputereinheit U gesendet werden. 

Die in dem ersten optionalen Datenfeld datl und in 
dem zweiten optionalen Datenfeld dat2 enthaltenen Da- 
ten kOnnen z. B. Telefonnunmiem, die aktuelle Zeit oder 
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fthnliche hierfar geeignete Parameter sein. Diese Infor- 
mation kann als Werkzeug far eine unanfechtbare Ge- 
bOhrenabrechnung verwendet warden. 

Unter Verwendung einer ersten Signaturfunktion Si- 
gu wird der Signaturterm aus mindestens der vierten 5 
Eingangsgr6Be gebildet Um einen h6heren Sicherheits- 
grad 2u erzielen, kann der Signaturterm verschlQsseit 
werden. Der Signaturterm wird in diesem Fall mit dem 
Sitzungsschlttssel K unter Verwendung der VerschlQs- 
selungsfunktion Enc verschlQsseit und bildet den ersten jo 
verschlQsselten Term VTl. 

Bei Verwendung eines optionalen zweiten Datenfel- 
des dat2 wird in der Benutzercomputereinheit U ein 
dritter verschlQsselter Term VT3 berechnet. indem das 
optionale zweite Datenfeld dat2 mit dem Sitzungs- 15 
schlttssel K unter Verwendung der VerschlQsselungs- 
funktion Enc versclilttsselt wird. Das optionale zweite 
Datenfeld dat2 kann auch unverschlQsselt, also im KJar- 
text ubertragen werden. 

In der Benutzercomputereinheit U wird eine dritte 20 
Nachricht M3 gebildet und codiert, die mindestens aus 
dem ersten verschlilsselten Term VTl, und. wenn das 
optionale zweite Datenfeld dat2 verwendet wird, dem 
dritten verschlusselten Term VT3 oder dem optionalen 
zweiten Datenfeld dat2 im Klartext besteht Die dritte 25 
Nachricht M3 wird von der Benutzercomputereinheit U 
zu der Netzcomputereinheit N (ibertragea 

Zusatzlich wird die Authentifikation der Benutzer- 
computereinheit U gegentiber der Netzcomputerein- 
heit N durch den Signaturterm in der dritten Nachricht 30 
M3 gewahrleistet, durch deren Verwendung auch ga- 
rantiert wird, daB die dritte Nachricht M3 tatsSchlich 
aktuell von der Benutzercomputereinheit U gesendet 
wurde. 

In der Netzcomputereinheit N wird die dritte Nach- 35 
richt M3 decodiert und anschlieBend wird der erste ver- 
schlOsselte Term VTl sowie eventuell der dritte ver- 
schlusselte Term VT3 entschlQsselt Anhand des Benu- 
terzertifikats CertU, das der Netzcomputereinheit N 
zur VerfQgung steht, wird der Signaturterm verif iziert 40 

Wenn die Verwendung des optionalen zweiten Da- 
tenfelds dat2 vorgesehen wird, weist die dritte Nach- 
richt M3 zus^tzlich mindestens den dritten verschlilssel- 
ten Term VT3 auf oder das optionale zweite Datenfeld 
dat2 in Klartext, wenn das optionale zweite Datenfeld 45 
dat2 in Klartext ilbertragen werden soli. 

Wenn die dritte Nachricht M3 den ersten verschlus- 
selten Term VTl, den zweiten verschlusselten Term 
VT2 Oder den dritten verschlusselten Term VT3 auf- 
weist, werden diese in der Netzcomputereinheit N ent- 50 
schlOsselt Dies geschieht fiir den eventuell vorhandenen 
ersten verschlttsselten Term VTl vor der Verifikation 
des Signaturterms. 

Wenn fOr das erfindimgsgemafie Verfahren tempora- 
re Benutzeridentitaten vorgesehen werden, so wird das 55 
im vorigen beschriebene Verfahren um einige Verfah- 
rensschritte erweitert 

In der Netzcomputereinheit N wird fiir die Benutzer- 
computereinheit U eine neue temporare Identitatsgrd- 
Qe TMUIN gebildet, die der Benutzercomputereinheit eo 
U im weiteren zugewiesen wird. Dies kann z. B. durch 
Generierung einer Zufallszahl oder durch Tabellen, in 
denen m6gliche IdentitatsgrdBen abgespeichert sind, 
durchgeftihrt werden. Aus der neuen temporaren Iden- 
titatsgrSBe TMUIN der Benutzercomputereinheit U 65 
wird in der Netzcomputereinheit N ein vierter ver- 
schlQsselter Term VT4 gebildet, indem die neue tempo- 
rare IdentitatsgrdBe TMUIN der Benutzercompute- 
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reinheit U mit dem Sitzungsschlttssel K unter Verwen- 
dung der VerschlQsselungsfunktion Enc verschlOsselt 
wird. 

In diesem Fall weist die zweite Nachricht M2 zusatz- 
lich mindestens den vierten verschlttsselten Term VT4 
auf. Der vierte verschlusselte Term VT4 wird dann in 
der Benutzercomputereinheit U entschlttsselt Nun ist 
die neue temporare IdentitatsgrdBe TMUIN der Benut- 
zercomputereinheit U in der Benutzercomputereinheit 
U verf ttgbar. 

Damit der Netzcomputereinheit N auch gewahrlei- 
stet wird, daB die Benutzercomputereinheit U die neue 
temporare IdentitatsgrdBe TMUIN korrekt empfangen 
hat, weist die dritte EingangsgrbBe fttr die erste Hash- 
Funktion hi oder fur die zweite Hash-Funktion h2 zu- 
satzlich mindestens die neue temporare IdentitatsgrdBe 
TMUIN der Benutzercomputereinheit U auf. 

Die in dem erfindungsgemaBen Verfahren verwende- 
ten Hash-Funktionen, die erste Hash-Funktion hi. die 
zweite Hash-Funktion h2 und die dritte Hash-Funktion 
h3 und die vierte Hash-Funktion h4 kdnnen durch die 
gleiche. aber auch durch verschiedene Hash-Funktionen 
realisiert werden. 

Patentanspruche 

1. Verfahren zum rechnergesttttzten Austausch 
kryptographischer Schlttssel zwischen einer Benut- 
zercomputereinheit (U) und einer Netzcompute- 
reinheit (N), 

— bei dem aus einer ersten Zufallszahl (t) mit 
Hilfe eines erzeugenden Elements (g) einer 
endlichen Gruppe in der Benutzercompute- 
reinheit (U) ein erster Wert (g^) gebildet wird, 

— bei dem eine erste Nachricht (Ml) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) ttbertragen wird, wobei die 
erste Nachricht (Ml) mindestens den ersten 
Wert (g'O, eine IdentitatsgrdBe (|MU|) der Be- 
nutzercomputereinheit (U) und eine Identitats- 
angabe (idcA) einer Zertifizierungscompute- 
reinheit (CA), die der Benutzercomputerein- 
heit (U) ein Netzzertifikat (CertN) liefert, das 
von der Benutzercomputereinheit (U) verifi- 
ziert werden kann, 

— bei dem eine vierte Nachricht (M4) von der 
Netzcomputereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ttbertragen wird. 
wobei die vierte Nachricht (M4) mindestens 
einen dffentlichen Netzschltissel (g^ den er- 
sten Wert (g*X die IdentitatsgrdBe (|MU|) der 
Benutzercomputereinheit (L^ als Eingangs- 
grdBe aufweist und wobei eine Ausgangsgrd- 
Be der dritten Hash-Funktion (h3) unter Ver- 
wendung einer zweiten Signaturfunktion 
(SigN) signiert wird, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) der erste signierte Term verifiziert 
wird. 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) ein dritter Term gebildet wird, der 
mindestens den ersten Wert {g% den dffentli- 
chen Netzschlussel (g*) und eine Identitatsan- 
gabe (idw) der Netzcomputereinheit (N) auf- 
weist, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) unter Verwendung einer vierten 
Hash-Funktion (h4) ein Hash- Wert uber den 
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dritten Term gebildet wird, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) der Hash-Wert uber den dritten 
Term unter Verwendung einer dritten Signa- 
turfunktion (SigcA) mil einem geheimen Zerti- 5 
fizierungsschliissel (U) signiert wird, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) ein Netzzertifikat (CertN) gebildet 
wird, das mindestens den dritten Term und den 
signierten Hash-Wert des dritten Terms auf- 10 
weist, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) auf einen fQnften Term der minde- 
stens einen Zeitstempel (TS), die Identitatsan- 
gabe (idn) der Netzcomputereinheit (N) und 15 
ein Benutzerzertifikat (CertU) aufweist, eine 
vierte Hash-Funktion (h4) angewendet wird, 

— bei dem der Hash-Wert des fOnften Terms 
durch Verwendung der dritten Signaturfunk- 
tion (SigCA) mit dem geheimen Zertifizie- 20 
rungsschliissel (cs) signiert und das Ergebnis 
den zweiten signierten Term darstellt, 

— bei dem eine ftinf te Machricht (M5), die min- 
destens das Netzzertifikat (CertN), den fiinften 
Term und den zweiten signierten Term auf- 25 
weist, von der Zertifizierungscomputereinheit 
(CA) zu der Netzcomputereinheit (N) tibertra- 
genwird, 

— bei dem in der Netzcomputereinheit (N) das 
Netzzertifikat (CertN) und der zweite signier- 30 
te Term verifiziert werden, 

— bei dem in der Netzcomputereinheit (N) ein 
vierter Term, der mindestens den bffentlichen 
Netzschliissel (g*) und den signierten Hash- 
Wert des dritten Terms aufweist, gebildet wird, 35 

— bei dem in der Netzcomputereinheit (N) ein 
Sitzungsschliissel (K) mit Hilfe einer ersten 
Hash-Funktion (hi) gebildet wird, wobei eine 
erste Eingangsgr6Be der ersten Hash-Funk- 
tion (hi) mindestens einen ersten Term auf- 40 
weist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts (g^) mit dem geheimen 
Netzschliissel (s), 

— bei dem in der Netzcomputereinheit (N) 
eine Antwort (A) gebildet wird, 45 

— bei dem eine zweite Nachricht (M2) von der 
Netzcomputereinheit (N) an die Benutzercom- 
putereinheit (U) tibertragen wird, wobei die 
zweite Nachricht (M2) mindestens die Ant- 
wort (A) und den vierten Term aufweist, 50 

— bei dem in der Benutzercomputereinheit 
(U) das Netzzertifikat (CertN) verifiziert wird, 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschliissel (K) gebildet wird mit 
Hilfe der ersten Hash-Funktion (hi), wobei ei- 55 
ne zweite EingangsgrdSe der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term 
aufweist, der gebildet wird durch eine Expo- 
nentiation des 6ffentlichen NetzschlQssels (g^) 
mit der ersten Zuf allszahl (t), so 

— bei dem in der Benutzercomputereinheit 
(U) der SitzungsschlQssel (K) anhand der Ant- 
wort (A) Qberprtift wird, 

— bei dem in der Benutzercomputereinheit 
(U) mit Hilfe einer zweiten Hash-Funktion (h2) 55 
Oder der ersten Hash-Funktion (hi) eine vierte 
EingangsgrdBe gebildet wird, wobei eine dritte 
EingangsgrdBe flir die erste Hash-Funktion 



(hi) Oder fQr die zweite Hash-Funktion (h2) 
zur Bildung der vierten EingangsgrdBe minde- 
stens den SitzungsschlOssel (K) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) ein Signaturterm aus mindestens der vier- 
ten EingangsgrdBe gebildet wird unter An- 
wendimg einer ersten Signaturfunktion (Sigu), 

— bei dem eine dritte Nachricht (M3) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) tibertragen wird, wobei die 
dritte Nachricht (M3) mindestens den Signa- 
turterm aufweist, 

— bei dem in der Netzcomputereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, 

— bei dem in der Netzcomputereinheit (N) die 
erste EingangsgrdBe der ersten Hash-Funk- 
tion (hi) zusatzlich mindestens eine zweite Zu- 
fallszahl (r) aufweist, 

— bei dem die zweite Nachricht (M2) zusStz- 
lich die zweite Zufallszahl (r) aufweist, und 

— bei dem in der Benutzercomputereinheit 
(U) die zweite EingangsgrdBe der ersten Hash- 
Funktion (hi) zusatzlich mindestens die zweite 
Zufallszahl (r) aufweist. 

3. Verfahren nach Anspruch 1 oder 2, 

— bei dem in der Netzcomputereinheit (N), 
nachdem die erste Nachricht (Ml) empfangen 
wurde und bevor die zweite Nachricht (M2) 
gebildet wird, filr die Benutzercomputerein- 
heit (U) eine neue temporSre IdentitStsgrdBe 
(TMUIN) der Benutzercomputereinheit (U) 
gebildet wird, 

— bei dem in der Netzcomputereinheit (N) aus 
der neuen tempor^ren IdentitStsgrdBe 
(TMUIN) der Benutzercomputereinheit (U) 
ein vierter verschlOsselter Term (VT4) gebildet 
wird, indem die neue temporare Identitatsgrd- 
Be (TMUIN) der Benutzercomputereinheit (U) 
mit dem Sitzungsschliissel (K) unter Verwen- 
dung der Verschlusselungsfunktion (Enc) ver- 
schlflsseit wird, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich mindestens den vierten verschliisselten 
Term (VT4) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U), nachdem die zweite Nachricht (M2) emp- 
fangen wurde und bevor die vierte Eingangs- 
grdBe gebildet wird, der vierte verschiusselte 
Term (VT4) entschlQsselt wird, und 

bei dem die dritte EingangsgrdBe fOr die 
erste Hash-Funktion (hi) oder fiir die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrdBe zusatzlich mindestens die neue 
temporare IdentitatsgrdBe (TMUIN) der Be- 
nutzercomputereinheit (U) aufweist 

4. Verfahren nach einem der Ansprtiche 1 bis 3, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der ersten Nachricht (Ml) ein 
ZwischenschlQssel (L) gebildet wird, indem ein 
dffentlicher Zertifizierungsschliissel (g") mit 
der ersten Zufallszahl (t) potenziert wird, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der ersten Nachricht (Ml) aus 
der IdentitatsgrdBe (|MU|) der Benutzercom- 
putereinheit (U) ein zweiter verschltisselter 
Term (VT2) gebildet wird, indem die Identi- 
tatsgrdBe (|MU|) mit dem Zwischenschlussel 
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(L) unter Anwendung der Verschlusselungs- 
funktion (Enc) verschlQsselt wird, 

— bei dem die erste Nachricht (M 1 ) anstatt der 
IdentitatsgroBe (|MU|) der Benutzercompute- 
reinheit (U) den zweiten verschlQsselten Term 5 
(VT2) aufweist, 

— bei dem die vierte Nachricht (M4) anstatt 
der IdentitatsgrbBe (|MU|) der Benutzercom- 
putereinheit (U) den zweiten verschlUsselten 
Term (VT2) aufweist, und 10 

— bei dem in der Zertifizierungscomputerein- 
heit (CA), nachdem die vierte Nachricht (M4) 
empfangen wurde, der zweite verschlQsselte 
Term (VT2) entschlQsselt wird 

5. Verf ahren nach einem der Anspruche 1 bis 4, 15 

— bei dem die zweite Nachricht (M2) zusatz- 
lich ein optionales erstes Datenfeld (datl) auf- 
weist, und 

— bei dem die dritte EingangsgrdBe fur die 
erste Hash- Funktion (hi) oder fur die zweite 20 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrdBe zusatziich mindestens das op- 
tionale erste Datenfeld (datl) aufweist 

6. Verfahren nach einem der Anspruche 1 bis 5, 

— bei dem in der Benutzercomputereinheit 25 
(U) vor Bildung der dritten Nachricht (M3) ein 
dritter verschlusselter Term (VTS) gebildet 
wird. indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlttssel (K) unter An- 
wendung der VerschlUsselungsfunktion (Enc) 30 
verschlQsselt wird, 

bei dem die dritte Nachricht (M3) zusatziich 
mindestens den dritten verschlusselten Term 
(VT3) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 35 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschlQsselte Term (VT3) 
entschlQsselt wird. 

7. Verfahren nach einem der AnsprQche 1 bis 6, 

— bei dem in der Benutzercomputereinheit 40 
(U) vor Bildung der dritten Nachricht (M3) ein 
erster verschlusseher Term (VTl) gebildet 
wird, indem der Signaturterm mit dem Sit- 
zungsschiQssel (K) unter Anwendung der Ver- 
schlQsselungsfunktion (Enc) verschlQsselt wird, 45 

— bei dem die dritte Nachricht (M3) anstatt 
des Signaturterms den ersten verschlQsselten 
Term (VTl) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 50 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschlQsselte Term (VTl) ent- 
schlQsselt wird. 

8. Verfahren nach einem der AnsprQche 1 bis 7, bei 
dem in der Netzcomputereinheit (N) die Antwort 55 
(A) gebildet wird, indem eine Konstante (const), die 

in der Netzcomputereinheit (N) und in der Benut- 
zercomputereinheit (U) bekannt sind. mit dem Sit- 
zungsschlQssel (K) unter Anwendung der Ver- 
schlusselungsfunktion (Enc) verschlQsselt wird. eo 

9. Verfahren nach einem der AnsprQche 1 bis 7, 

— bei dem in der Netzcomputereinheit (N) die 
Antwort (A) gebildet wird. indem auf den Sit- 
zungsschlQssel (K) eine dritte Hash-Funktion 
(h3) angewendet wird, und S5 

— bei dem in der Benutzercomputereinheit 
(U) die Antwort (A) QberprQft wird, indem auf 
den SitzungsschlQssel (K) die dritte Hash- 
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Funktion (h3) angewendet wird und das Er- 
gebnis mit der Antwort (A) verglichen wird 

10. Verfahren nach einem der AnsprQche 1 bis 8, bei 
dem in der Benutzercomputereinheit (U) die Ant- 
wort (A) QberprQft wird, indem die Konstante 
(const) mit dem SitzungsschlQssel (K) unter Anwen- 
dung der VerschlQsselungsfunktion (Enc) ver- 
schlQsselt wird und das Ergebnis mit der Antwort 
(A) verglichen wird 

1 1. Verfahren nach einem der AnsprQche 1 bis 8, bei 
dem in der Benutzercomputereinheit (U) die Ant- 
wort (A) QberprQft wird, indem die Antwort (A) mit 
dem SitzungsschlQssel (K) unter Anwendung der 
VerschlQsselungsfunktion (Enc) entschlQsselt wird 
und eine entschlusseite Konstante (const') mit der 
Konstante (const) verglichen wird. 

12. Verfahren nach einem der AnsprQche 1 bis 11, 
bei dem in der Zertif izierungscomputereinheit (CA) 
mindestens eine der GroBen, die Identitatsangabe 
(idw) der Netzcomputereinheit (N), die Identitats- 
gr6Be (|MU|) der Benutzercomputereinheit (U), der 
5ffentliche Netzschlussel (g*) oder das Benutzer- 
zertifikat (CertU) anhand einer Revokationsliste 
QberprQft wird 

13. Verfahren nach einem der Anspruche 1 bis 5, bei 
dem die dritte Nachricht (M3) zusatziich minde- 
stens ein optionales zweites Datenfeld (dat2) auf- 
weist 
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Benutzercomputereinheit U Netz computereinheit N Zertifizierangscoinputereinheit CA 



Generierung einer 
ersten Zuf allszahl t 



I 



Berechnen eines 
ersten Wertes gt 



Ml=gt II idcAll IMUI 
> 



M4 = gs II gt II IMUI II SigN(h3( gS || g^ || IMUI )) 
> 



Verifizieien von M4 
CertU herausfinden | 

1= 



Uberprufen von idN, g^, 
IMUI und CertU anhand 
Revokationsliste 



J. 



Berechnen eines 
dritten Terms = g^ || g^ || idN 
I 



Berechnen eines Netzzertifikats 
CertN:=dritter Term || SigCA(h4( dritter Term )) 



Kreieren eines Zeitstempels 
T5; 



Berechnen eines fOnften 
Terms TS || idN II CertU 



1 



Berechnen eines zweiten signierten Terms 
funfler Term || SigCA(h4(ftinfter Term)) 



M5 = CertN || zweiter signierter Term 



Verifizieren von CertN und 
des zweiten signierten Terms 



Figur la 
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Beiechnen eines 

vierten Terms := \] SigCA(h4(fiinfter Term)) 



T 



Berechnen eines Sitzungsschltissels 
K:=hl((gt)S) 



Berechnen einer Antwort A 



M2 = A II vierter Term 



Ventizieren von CertJN { 



Berechnen des Sitzungsschltissels 
K:= hl{(gS)t||r) 



OberprUfen der Antwort A 



Berechnen eines ersten Signaturterms 
SigTj( h2(K)) 



M3 = Sigu( h2(K)) 



Verifizieren von 
Sigu(h2(K)) 



Figur lb 
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Generierung einer 
ersten Zufallszahl t 

Bercchnen eines 
ersten Wertes 

I 

Berechnen eines 
Zwischenschltissels 
L:=gtu 

' 

Berechnen eines vierten 
verschlttsselten Terms 
VT4 := Enc(L, IMUI) 



Ml=gt l|idCAllVT4 
> 



M4 = gs II gt II VT4 11 SigN(h3( gS || gt || VT4 )) 
> 

f Verifizieren von M4 | 



Berechnen des 
Zwischenschltissels L := g^^ 

Entschliisseln von VT4 1 





CertU herausfinden 

3 



Uberpriifen von idN, g^» 
IMUI und CertU anhand 
Revokationsliste 



JL 



Berechnen eines 
dritten Terras = g^ |i g^ || idjsr 
1 



Berechnen eines Netzzertifikats 
CertN:=dritter Term || SigCA(h4( dritter Term )) 



Kreieren eines Zeitstempels 



Figur 2a 
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Berechnen eines fiinften 
Terms TS || idN II CertU 



Berechnen eines zweiten signierten Terms = 
fflnfter Term H SigCA(h4(fttnf ter Term)) 



M5 = CertN jj zweiter signierter Term 

< 



Verifizieren von CertN und 
des zweiten signierten Terms 



Berechnen eines 

vierten Terms := g^ || SigCA(h4(ftinfter Term)) 



Generierung einer zweiten 
Zufallszahl r 



Berecimen eines Sitzungssciiliissels 
K:=hl((gt)S||r) 



Berechnen einer Antwort 
A:= Enc {K, const) 



M2 = r II A II vierter Term || datl 



Veritizieren von CertN 



Berechnen des Sitzungsschliissels 
K:= hl(( gS)t|lr) 



UberprUfen der Antwort A 



Berechnen eines ersten verschliisselten Terms 
VTl := Enc(K. SigriC h2(K || datl || dat2))) 



Berechnen eines dritten verschliisselten Terms 
VT3 := Enc (K. dat2) 



M3 = VTl II VT3 



EntschlOssein von VTl und VT3 



I 



Verifizieren von 
Sigu( h2(K II datal H data2)) 



Figur 2b 
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